یک جفت دانشجو می گویند اوایل امسال یک نقص امنیتی پیدا کردند و گزارش کردند که به هر کسی اجازه می دهد از پرداخت هزینه لباسشویی که توسط بیش از یک میلیون ماشین لباسشویی متصل به اینترنت در محل سکونت و دانشگاه در سراسر جهان ارائه می شود، اجتناب کند.

ماه‌ها بعد، پس از اینکه CSC ServiceWorks مکرراً درخواست‌های رفع نقص را نادیده گرفت، این آسیب‌پذیری باز می‌ماند.

الکساندر شربروک و ایاکوف تاراننکو، دانشجویان دانشگاه کالیفرنیا سانتا کروز به TechCrunch گفتند که آسیب‌پذیری که آنها کشف کردند به هر کسی اجازه می‌دهد تا از راه دور دستورات را به ماشین‌های لباس‌شویی که توسط CSC اداره می‌شود ارسال کند و چرخه‌های لباس‌شویی را به صورت رایگان اجرا کند.

شربروک بيان کرد که صبح یک روز ژانویه در حالی که لپ‌تاپ خود را در دست داشت، در ساعت‌های اولیه روی زمین خشک‌شویی زیرزمینش نشسته بود و «ناگهان لحظه‌ای «اوه» داشت. شربروک از لپ‌تاپ خود یک اسکریپت کد با دستورالعمل‌هایی اجرا کرد که به دستگاه مقابلش می‌گفت با وجود داشتن 0 دلار در حساب خشک‌شویی‌اش، یک چرخه را شروع کند. دستگاه بلافاصله با یک بوق بلند از خواب بیدار شد و "PUSH START" را بر روی صفحه نمایش خود فلش زد، که نشان می دهد دستگاه آماده شستن بار رایگان لباس است.

در موردی دیگر، دانش‌آموزان موجودی ظاهری چند میلیون دلاری را به یکی از حساب‌های لباس‌شویی خود اضافه کردند که در برنامه تلفن همراه CSC Go آنها منعکس می‌شد که گویی مبلغی کاملاً عادی برای دانش‌آموز است که برای لباس‌شویی خرج می‌کند.

CSC ServiceWorks یک شرکت بزرگ خدمات لباسشویی است که شبکه ای متشکل از بیش از یک میلیون ماشین لباسشویی نصب شده در هتل ها، پردیس های دانشگاهی و اقامتگاه ها در سراسر ایالات متحده، کانادا و اروپا را تبلیغ می کند.

از آنجایی که CSC ServiceWorks صفحه امنیتی اختصاصی برای گزارش آسیب‌پذیری‌های امنیتی ندارد، شربروک و تاراننکو پیام‌های متعددی را از طریق فرم تماس آنلاین خود در ژانویه به شرکت ارسال کردند اما چیزی از شرکت نشنیدند. آنها گفتند که تماس تلفنی با شرکت آنها را به جایی نرساند.

دانش‌آموزان همچنین یافته‌های خود را به مرکز هماهنگی CERT در دانشگاه کارنگی ملون فرستادند، که به محققان امنیتی کمک می‌کند تا نقص‌ها را برای فروشندگان آسیب‌دیده افشا کنند و راه‌حل‌ها و راهنمایی‌هایی را برای عموم ارائه کنند.

دانش‌آموزان اکنون پس از انتظار بیش از سه ماه متداول که محققان امنیتی معمولاً به فروشندگان اجازه می‌دهند تا قبل از عرضه عمومی، عیوب را برطرف کنند، اطلاعات بیشتری درباره یافته‌های خود فاش می‌کنند. این زوج ابتدا تحقیقات خود را در یک سخنرانی در باشگاه امنیت سایبری دانشگاه خود در اوایل ماه مه فاش کردند.

مشخص نیست که چه کسی مسئول امنیت سایبری در CSC است و نمایندگان CSC به درخواست‌های TechCrunch برای اظهار نظر پاسخ ندادند.

محققان دانشجو گفتند که این آسیب‌پذیری در API استفاده شده توسط برنامه تلفن همراه CSC، CSC Go است. یک API به برنامه ها و دستگاه ها اجازه می دهد تا از طریق اینترنت با یکدیگر ارتباط برقرار کنند. در این حالت، مشتری برنامه CSC Go را باز می‌کند تا حساب خود را با وجوه شارژ کند، پرداخت کند و بارگیری لباس‌های شسته شده را در ماشینی در نزدیکی شروع کند.

شربروک و تاراننکو کشف کردند که سرورهای CSC را می توان فریب داد تا دستوراتی را بپذیرند که موجودی حساب آنها را تغییر می دهد زیرا هرگونه تحلیل امنیتی توسط برنامه روی دستگاه کاربر انجام می شود و به طور خودکار توسط سرورهای CSC قابل اعتماد است. این به آن‌ها اجازه می‌دهد تا بدون قرار دادن وجوه واقعی در حساب‌هایشان، هزینه لباس‌شویی را بپردازند.

شربروک و تاراننکو با تجزیه و تحلیل ترافیک شبکه هنگام ورود به سیستم و استفاده از برنامه CSC Go دریافتند که می توانند تحلیل های امنیتی برنامه را دور بزنند و دستورات را مستقیماً به سرورهای CSC ارسال کنند که از طریق خود برنامه در دسترس نیستند.

فروشندگان فناوری مانند CSC در نهایت مسئول اطمینان از اینکه سرورهای آنها تحلیل های امنیتی مناسب را انجام می دهند، هستند. در غیر این صورت شبیه به داشتن یک صندوق بانکی است که توسط نگهبانی محافظت می شود که به خود زحمت نمی دهد چک کند چه کسی اجازه ورود دارد.

محققان گفتند که به طور بالقوه هر کسی می تواند یک حساب کاربری CSC Go ایجاد کند و دستورات را با استفاده از API ارسال کند زیرا سرورها همچنین تحلیل نمی کنند که آیا کاربران جدید دارای آدرس ایمیل آنها هستند یا خیر. محققان این موضوع را با ایجاد یک حساب کاربری جدید CSC با یک آدرس ایمیل ساخته شده آزمایش کردند.

با دسترسی مستقیم به API و ارجاع به فهرست دستورات منتشر شده خود CSC برای برقراری ارتباط با سرورهای آن، محققان گفتند که می‌توان از راه دور مکان‌یابی کرد و با آن تعامل کرد «هر ماشین لباس‌شویی در شبکه متصل CSC ServiceWorks».

از نظر عملی، لباسشویی رایگان جنبه مثبتی دارد. اما محققان بر خطرات بالقوه اتصال وسایل سنگین به اینترنت و آسیب پذیر بودن در برابر حملات تاکید کردند. شربروک و تاراننکو گفتند که از ارسال دستورات از طریق API می‌توانند محدودیت‌های ایمنی را که ماشین‌های لباس‌شویی مدرن برای جلوگیری از گرمای بیش از حد و آتش‌سوزی با آن‌ها اعمال می‌کنند، دور بزند، بی‌اطلاع هستند. محققان گفتند که فردی برای شروع چرخه باید دکمه شروع ماشین لباسشویی را به صورت فیزیکی فشار دهد. تا آن زمان، تنظیمات جلوی ماشین لباسشویی را نمی توان تغییر داد، مگر اینکه شخصی دستگاه را مجدداً تنظیم کند.

CSC پس از گزارش یافته های خود، بی سر و صدا موجودی حساب چند میلیون دلاری محققان را از بین برد، اما محققان گفتند که این باگ رفع نشده است و کاربران همچنان می توانند «آزادانه» هر مقدار پول را به خود بدهند.

تاراننکو بيان کرد که از اینکه CSC آسیب پذیری آنها را تایید نکرده است، ناامید شده است.

او گفت: "من متوجه نمی شوم که چگونه یک شرکت بزرگ چنین اشتباهاتی را مرتکب می شود، سپس راهی برای تماس با آنها ندارد." در بدترین سناریو، مردم می توانند به راحتی کیف پول خود را بارگیری کنند و شرکت پول زیادی از دست بدهد. چرا حداقل برای داشتن یک صندوق ورودی ایمیل امنیتی نظارت شده برای این نوع شرایط صرف نمی کنید؟

اما محققان از عدم پاسخگویی CSC دلسرد شده‌اند.

تاراننکو گفت: «از آنجایی که ما این کار را با حسن نیت انجام می‌دهیم، من بدم نمی‌آید که چند ساعت منتظر بمانم تا با میز کمک آنها تماس بگیرم اگر به یک شرکت در زمینه مسائل امنیتی کمک می‌کند. این نوع تحقیقات امنیتی را در دنیای واقعی و نه فقط در مسابقات شبیه سازی شده انجام دهید.

خبرکاو